Langfristige Sicherheit am Beispiel eines virtuellen Tresors

Langfristige Sicherheit am Beispiel eines virtuellen Tresors

Lucie Langer, Alex Wiesmaier Technische Universit¨ at Darmstadt Kryptographie und Computeralgebra

[langer|wiesmaier]@cdc.informatik.tu-darmstadt.de

Ab November 2010 wird in Deutschland der elektronische Personalausweis an die B¨urger ausgegeben. Ziel dieser Einf¨uhrung ist es, den bisherigen Personal- ausweis um elektronische Funktionen zu erg¨anzen und damit den Herausfor- derungen und M¨oglichkeiten der Gegenwart anzupassen [BdI08]. Neben einer zus¨atzlichen Aufnahme biometrischer Merkmale f¨ur hoheitliche Personenkon- trollen wird der Ausweis seinem Halter einen elektronischen Identit¨atsnachweis

¨uber das Internet erm¨oglichen. Dar¨uber hinaus wird der elektronische Personal- ausweis auch die Option qualifizierter elektronischer Signaturen bieten. Dadurch werden zahlreiche neue Anwendungen in eGovernment und eBusiness m¨oglich gemacht, die dem B¨urger ein erh¨ohtes Maß an Flexibilit¨at und Mobilit¨at bieten.

Eine innovative Anwendung des elektronischen Personalausweises ist Thema eines interdisziplin¨aren Forschungsprojekts, dessen Vorhaben im Folgenden be- schrieben wird. Ziel des Projekts ist die Entwicklung eines Konzepts zur lang- fristig sicheren Aufbewahrung und mobilen Bereitstellung pers¨onlicher Daten durch ein elektronisches Schließfach: DerLifetime eSafe erlaubt es dem Nutzer, wichtige pers¨onliche Dokumente langfristig sicher und vertraulich abzulegen und erm¨oglicht gleichzeitig den mobilen Zugriff auf diese Dokumente. Des Weiteren soll der Benutzer des eSafe auch anderen Personen Zugriff auf ausgew¨ahlte Da- ten gew¨ahren k¨onnen. Der elektronische Personalausweis erm¨oglicht die sichere Authentisierung des Benutzers am eSafe. F¨ur den Prototypen des eSafe sind im Einzelnen folgende Funktionalit¨aten eingeplant:

• Die Nutzer k¨onnen beliebige Daten sicher auf ihren eSafe hochladen. Typi- scherweise sind dies auf Lebenszeit g¨ultige Dokumente wie VBL-Bescheide, Zeugnisse, Empfehlungsschreiben, usw.

• Die Nutzer k¨onnen feingranular (z.B. einzelne Dokumente, einzelne Per- sonen) und grobgranular (z.B. Dokumentengruppen, Personengruppen) Zugriffsrechte f¨ur von den Nutzern ausgew¨ahlte Teile des eSafes geben.

Diese Rechte k¨onnen zeitlich limitiert werden, und es besteht außerdem die M¨oglichkeit, die Anzahl der Zugriffe zu beschr¨anken. Eine Beispielan- wendung hierf¨ur sind Zeugnisse und Empfehlungsschreiben, die im Rah- men von Bewerbungen den Entscheidern zur Verf¨ugung gestellt werden;

durch den eSafe wird hier das Verschicken umfangreicher eMail-Anh¨ange vermieden.

Die Vertraulichkeit der im eSafe gespeicherten Daten wird dadurch gew¨ahrleistet, dass der eSafe von einem verteilten Dienstleisterkonsortium betrieben wird.

Selbst wenn mehrere Mitglieder des Konsortiums miteinander kooperieren, um die Vertraulichkeit der Daten zu kompromittieren, bleiben die Daten geheim, so- lange ein konfigurierbarer Anteil der Konsortialpartner nicht kollaboriert. Dies wird garantiert durch den Einsatz eines Speicherkonzepts, welches auf Shamirs Secret Sharing [Sha79] zur¨uckgeht und bereits von Doi et al. beschrieben wurde

[MDNK08]. Die grundlegende Idee besteht darin, dass eine Datei auf eine be- stimmte Anzahl von Bl¨ocken aufgeteilt wird. Jeder dieser Bl¨ocke wird dann als eigenst¨andiges Geheimnis betrachtet und in Form vonShares auf dienKonsor- tialpartner verteilt. Nach dem Muster des Secret Sharing mit den Parametern (n, k) [Sha79] werden dann zur Bereitstellung einer Dateikverschiedene Shares dernKonsortialpartner ben¨otigt. Weniger alskKonsortialpartner sind dagegen nicht in der Lage, eine Datei zu rekonstruieren. Gleichzeitig hat man hierdurch ein skalierbares Maß an Redundanz: Der Verlust oder die Kompromittierung von bis zun−kShares ist unkritisch. Der genaue Ablauf der verteilten Speicherung und Rekonstruktion wird weiter unten n¨aher beschrieben.

Komponenten

Der eSafe beinhaltet im Wesenlichen die folgenden Komponenten:

• Client: PC, von dem aus der Nutzer agiert.

• Webserver: Stellt dem Client die Seite mit den ben¨otigten Skripten zur Verf¨ugung, ¨uber die der Nutzer auf seine Daten zugreifen kann. Der Webser- ver ist aber nicht im Besitz der eigentlichen Dateien, sondern enth¨alt nur eine Datenbank mit deren Metainformationen, die er dem Client pr¨asentiert.

• Storageserver: Auf den Storageservern werden die Shares gespeichert. Da- bei soll jeder Konsortialpartner einen Storageserver betreiben und sich um die ordnungsgem¨aße Wartung sowie um ein regelm¨aßiges Backup k¨ummern.

• Authentifizierungsapplet: Wird benutzt, um sich mit Hilfe des elektroni- schen Personalausweises gegen¨uber dem Webserver zu authentifizieren.

• Ubertragungsapplet: Generiert die Shares auf dem Client und ¨¨ ubertr¨agt sie an die Storageserver bzw. holt die Shares von den Storageservern und setzt diese wieder zusammen.

Generieren der Shares

Wir definieren zun¨achst kurz die Vorgehensweise zur Verteilung eines Geheim- nisses nach [Sha79]: Sei F ein algebraischer K¨orper, S ∈ F das Geheimnis, k, n∈Nmitk≤n. W¨ahlek−1 geheime Koeffizientenai∈F, i= 1,2, . . . , k−1 des Polynoms

f(x) =

k−1

X

i=0

aixⁱ=S+

k−1

X

i=1

aixⁱ

mita0=S, d.h. das Geheimnis ist der konstante Term des Polynoms. W¨ahlen paarweise verschiedene IDsx_i∈F, i= 1,2, . . . , n. F¨ur dienPaare (x_i, f(x_i)) = (xi, yi) miti= 1,2, . . . , ngilt

















 y1

y2

...

yn



















=



















1 x1 x²₁ . . . x^k−1₁ 1 x2 x²₂ . . . x^k−1₂

... ... ... . .. ...

1 xn x²_n . . . x^k−1_n



















| {z }

n×k Matrix

















 S a1

a2

...

ak−1



















Dabei isty_i der Geheimnisteil zur IDx_i. Diey_i werden nun an die nverschie- denen Instanzen verteilt.

Um eine Datei im eSafe zu speichern, wird diese zun¨achst in b Bl¨ocke der L¨angem Bits aufgeteilt. Jeder Block wird einzeln als GeheimnisS betrachtet, und mit obiger Gleichung berechnet man inb Iterationen f¨ur feststehende IDs die zugeh¨origen Geheimnisteile. Geheimnisteile mit selber ID werden daraufhin in einer Datei zusammengefasst und bilden ein sogenanntesShare. Insgesamt gibt es alson Shares (bestehend aus jeb Geheimnisteilen), die auf den nver- schiedenen Storageservern gespeichert werden.

Um eine Datei zu rekonstruieren, muss jeder derbBl¨ocke rekonstruiert wer- den, aus denen die Datei besteht. Jeder dieser Bl¨ocke bildet ein GeheimnisS.

UmS zu rekonstruieren ben¨otigt mank Paare (xj_i, yj_i), i= 1,2, . . . , k aus ID und zugeh¨origem Geheimnisteil:

















 S a1

a2

...

a_k−1



















=



















1 x_j1 x²_j

1 . . . x^k−1_j

1

1 x_j2 x²_j

2 . . . x^k−1_j

2

... ... ... . .. ...

1 xj_k x²_jk . . . x^k−1_j

k



















−1

| {z }

k×k Matrix

















 yj₁

yj₂

...

yj_k



















Das Geheimnis kann nun durch Lagrange-Interpolation rekonstruiert wer- den:

S=f(0) =

k

X

i=1

yj_i k

Y

l=1,l6=i

x_jl xj_l−xj_i

Auf diese Weise wird ¨uber die Rekonstruktion der einzelnen Bl¨ocke die gesamte Datei wiederhergestellt.

Kommunikation

Die ¨Ubertragung der Shares vom Clientrechner zu den Storageservern und umge- kehrt erfolgt unter Einsatz von Protokolle wie TLS oder IPsec. Der eingesetzte Verschl¨usselungsalgorithmus ist variabel; dabei sind folgende Konfigurationen m¨oglich:

fixed Bei jeder Sitzung wird derselbe, vorher festgelegte Algorithmus verwen- det.

random Bei jeder Sitzung wird zuf¨allig und gleichverteilt ein Algorithmus aus einer festgelegten Menge m¨oglicher Algorithmen gew¨ahlt.

distinct Bei jeder Sitzung wird garantiert ein anderer Algorithmus verwendet.

So kann beispielsweise auch beim Hochladen der Shares auf die Storages- erver f¨ur die Verbindung zu jedem einzelnen Storageserver ein unterschied- licher Algorithmus zum Verschl¨usseln eingesetzt werden.

Der Nutzer des eSafe kann das System entsprechend konfigurieren und damit an sein pers¨onliches Sicherheitsbed¨urfnis anpassen.

Langfristige Sicherheit

Durch das beschriebene Speicherkonzept wird erreicht, dass die Vertraulichkeit der gespeicherten Daten nicht von der Sicherheit eines Kryptosystems abh¨angt.

Diese Sicherheit ist in der Regel zeitlich beschr¨ankt und abh¨angig von der Wahl der verwendeten Schl¨ussell¨angen. Das beschriebene System ist damit in beson- derem Maße f¨ur eine langfristige Speicherung elektronischer Daten geeignet.

Aus diesem Grund kann der eSafe als Langzeitspeicher in die vom Bundesamt f¨ur Sicherheit in der Informationstechnik entwickelte Referenzarchitektur zur vertrauensw¨urdigen Langzeitarchivierung [Bun09] integriert werden.

F¨ur die langfristige Lesbarkeit der gespeicherten Dokumente spielt die Wahl geeigneter Datenformate eine zentrale Rolle. Diese sollten standardisiert und langlebig sein. Als f¨ur die Langzeitaufbewahrung geeignete Formate gelten unter anderem PDF/A sowie XML. Die Wahl geeingneter Datenformate liegt in der Verantwortung des eSafe-Nutzers.

Weiterhin ist zu beachten, dass elektronische Signaturen ebenfalls einem Al- terungsprozess unterliegen und mit der Zeit ihre Beweiskraft verlieren k¨onnen (vgl. [BPRS02, Arcb, Arca]). Zum Erhalt qualifizierter Signaturen fordert §17 der Signaturverordnung vor Ablauf der Sicherheitseignung der verwendeten Al- gorithmen und Parameter eine neue qualifizierte Signatur, die die bisherigen Signaturen einschließt, sowie einen qualifizierten Zeitstempel [Sig]. Sofern der verwendete Hash-Algorithmus noch als sicher gilt, reicht es aus, lediglich die bis- herigen Signaturen mit einem qualifizierten Zeitstempel zu versehen [BPRS02].

Stellt der Nutzer ein signiertes Dokument in seinen eSafe ein, so wird er durch

das System informiert, sobald die Signatur erneuert werden muss. W¨unschenswert w¨are es, dass f¨ur die Erneuerung der Signatur nicht die betroffene Datei rekon- struiert werden muss, sondern lediglich die entsprechenden Shares neu signiert werden. L¨osungen f¨ur dieses Problem werden derzeit innerhalb des Forschungs- projekts entwickelt.

Literaturverzeichnis

[Arca] ArchiSafe. http://www.archisafe.de/, last checked 24.04.2009.

[Arcb] ArchiSig – Beweiskr¨aftige und sichere Langzeitarchivierung digi- tal signierter Dokumente. http://www.archisig.de/, last checked 24.04.2009.

[BdI08] Bundesministerium des Innern. Einf¨uhrung des elektronischen Per- sonalausweises in Deutschland. Grobkonzept – Version 2.0, Ju- li 2008. http://213.216.17.150/DOL/Anlagen/Anlage_A13_ePA_

Grobkonzept2.0.pdf.

[BPRS02] Ralf Brandner, Ulrich Pordesch, Alexander Roßnagel, and Joachim Schachermayer. Langzeitsicherung qualifizierter elektronischer Si- gnaturen. DuD, 26, 2002.

[Bun09] Bundesamt f¨ur Sicherheit in der Informationstechnik. Vertrau- ensw¨urdige elektronische Langzeitarchivierung (VLA). Technische Richtlinie VLA (BSI-TR-03125), in Vorbereitung, 2009.

[MDNK08] Toshiyuki Miyamoto, Shinji Doi, Hiroki Nogawa, and Sadatoshi Ku- magai. Autonomous distributed secret sharing storage system. Sy- stems and Computers in Japan, 37(6):55–63, 2008.

[Sha79] Adi Shamir. How to share a secret. Commun. ACM, 22(11):612–

613, 1979.

[Sig] Verordnung zur elektronischen Signatur, sigv. http:

//bundesrecht.juris.de/sigv_2001/index.html, last checked 24.04.2009.